Здравствуйте, уважаемые форумчане. Пару дней назад возникла проблема. Есть сеть 50+ компов 192.168.2.0/24. В свитч 16 портовый (неуправляемый) вставлен MikrotikRB962UiGS-5HacT2HnTи другие пользователи сети (через небольшие свитчи неуправляемые). Ether1 – WAN, Ether2 – LAN(свитч, внутренняя сеть) в настройках Микротика 192.168.2.0 – наша подсеть 192.168.2.1 – Микротик(основной шлюз) Настроен DHCP: 192.168.2.100-200 Недавно в сети появилось устройство (предположительно роутер) с IP10.39.0.1 с маской 255.255.128.0 и несколько IP (предположительно компов подключенных к этому роутеру) 10.39.31.71 и 10.39.31.72. IP-scanна Микротике по интерфейсу ether2 (локальной сети) его постоянно находит и этих двух пользователей (+ все пользователи 192.168.2.0, больше никого постороннего нет). На Mikrotike был настроен DHCPсервер (пул адресов 192.168.2.100-192.168.2.200) - он работал все нормально, но после «ПРИХОДА» 10.39.0.1 он работать перестал. Причина в том, что у этого 10.39.0.1 видимо также настроен DHCPсервер пользователи нашей сети выбирают «ПОЛУЧИТЬ IPавтоматически» они подключаются не к Mikrotik, а к этому неизвестный роутеру. В Сведениях о сети пишет: Шлюз по умолчанию: 10.39.0.1 Адрес IPv4 : 10.39.31.73 DHCP: включен Вместо основного шлюза 192.168.2.1 как было ранее при подключение к DHCP. Интернета нет и сети нет. Замечу, что любой роутер WI-fiвключенный в сеть с включенным DHCPперебивает DHCPМикротика. Т.е. пользователи по DHCPподключаются не к Микротику, если есть еще хоть один DHCPсервер в виде еще одного роутера, а подключаются к другому роутеру с DHCP. Проблема в то, что здание большое и я не знаю, что за 10.39.0.1 подключился и не могу вычислить. Если подключится к нему (прописать статические настройки со шлюзом 10.39.0.1) и попробовать зайти через HTTP – 10.39.0.1 – окна входа не появляется, пишет –«Невозможно отобразить страницу». Возможно просто отключен wwwпротокол… Сейчас все сидят на статических IP: 192.168.2.10-100. Через DHCPон подключается к 10.39.0.1, хотя DHCPМикротик до появления 10.39.0.1 нормально работал… Подскажите, пожалуйста: 1) Можно ли как-то назначать приоритеты, перенаправить, чтобы в сети он подключался по DHCP именно к Микротик, а не к 10.39.0.1 (не отключая у него DHCP, т.к. не знаю где он)? 2) Можно ли как-то отключить 10.39.0.1 от доступа к сети ether2? Чтобы он вообще в принципе не мог подключится к сети 192.168.2.0/24 и он по DHCPне выдавал адресов и к нему не подключались пользователи? (через правила firewall не хочет блокироваться) 3) В Микротик вообще можно ли как-то блокировать пользователя чтобы он не мог подключится к Микротик, не видел его и не занимал IPадрес (подключаясь к нему). И можно ли блокировать доступ к сети внутри сети, какому-либо пользователю? Пробовал, заблокировать соседа у него IP 192.168.2.12 – статический IP. Добавил его в правила add chain=input action=dropи add chain=forward = dropsrc-address=192.168.2.12 (и по IPи по MACадресу пробовал) – результат у него блокируется только интернет. При этом он подключается к Микротику у него IP 192.168.2.12 – который занимается им и он ВИДИТ ВСЮ СЕТЬ, т.е блокировка только Интернета. Пробывал через winbox -> ip -> routes -> Rules -> src. address (ip адрес или сеть которую хотите закрыть) 192.168.2.0/ 24 drc. (ip адрес кому хотите закрыть доступ в выше указаной сети) 192.168.2.12 action - unreachable (или drop) Бесполезно. Сосед видит всю сеть и также подключается С восклицательным знаком – без доступа к Интернету только. Т.е. не происходит блокировка сетевого трафика. При подключение вылезает НАЗВАНИЕ НАШЕЙ СЕТИ (а не «не опознанная сеть, когда если бы 192.168.2.1 не было или был бы заблокирован) Перепробовал всевозможные правила и действия, вплоть до rejectи tcp_resetв Action. Переискал в интернете - ничего не нашел. Толи сетевой трафик не идет через Mikrotik, а через СВИТЧ только 16 портовый этот, хотя в шлюзе же мы указываем 192.168.2.1, то ли вообще Микротик не блокирует трафик сетевой внутри сети, только на Интернет –forward. 4) Есть ли какая-то команда временно отключить пользователя от роутера (дропнуть, сбросить): ip address> disable [find address=192.168.2.12] – не работает (или disable address=192.168.2.12 – синтаксическая ошибка) Настройкифаервола: /ip firewall filter add chain=input protocol=icmp action=accept comment=”Allow Ping” add chain=forward protocol=icmp action=accept add chain=input connection-state=established action=accept comment=”Accept established connections” add chain=forward connection-state=established action=accept add chain=input connection-state=related action=accept comment=”Accept related connections” add chain=forward connection-state=related action=accept add chain=input connection-state=invalid action=drop comment=”Drop invalid connections” add chain=forward connection-state=invalid action=drop add chain=input protocol=udp action=accept comment=”Allow UDP” add chain=forward protocol=udp action=accept add chain=forward src-address=192.168.2.0/24 action=accept comment=”Access to Internet from local network” add chain=input src-address=192.168.2.0/24 action=accept comment=”Access to Mikrotik only from our local network” add chain=input action=drop comment=”All other drop” add chain=forward action=drop Спасибо заранее за любую помощь.
2-3) по маку заблокируйте - цепочки input(что бы не коннектился к микротику) и forward (что бы не проходили пакеты через микротик) для этого пользователя. Но если "ваш друг" соединен по проводу с свитчем - это обрежет ему доступ к микротику и интернету, но не к пользователям сети - "ваш друг" будет все так же раздавать dhcp-адреса. На какое то время это поможет(мак легко меняется).
1) Можно ли как-то назначать приоритеты, перенаправить, чтобы в сети он подключался по DHCP именно к Микротик, а не к 10.39.0.1 (не отключая у него DHCP, т.к. не знаю где он)? Поставьте YES в свойствах DHCP сервера в поле Authoritative - может улучшить ситуацию 2) Можно ли как-то отключить 10.39.0.1 от доступа к сети ether2? Чтобы он вообще в принципе не мог подключится к сети 192.168.2.0/24 и он по DHCPне выдавал адресов и к нему не подключались пользователи? (через правила firewall не хочет блокироваться) Его нужно блокировать на MAC уровне - bridge-filter, если хотите блокировать его трафик в обычном firewall используйте галку use ip firewall в настройках бридж. Также для избежании таких ситуаций в будущем советую использовать функцию доступа к вашей сети по MAC. Почитайте про функционал ARp-only в бридж и функцию Add arp for leases в DHCP
Спасибо большое всем за советы Так и хотел сделать только постоянно загружена сеть и интернет. Нужно будет остаться и выдергиванием определить Цепочки и Input пробовал. Пользователь по-прежнему остается в сети с:IP 192.168.2.12 (какой и был) шлюзом подключени 192.168.2.1 Правильно ли я вас понимаю, что если Микротик вставлен в свитч и в этот же свитч вставлены остальные компы. При этом пользователи в основном шлюзе прописывают адрес Микротика 192.168.2.1, подключаются к нему, то сетевой трафик (внутри сети)через него не идет? Он идет только по свитчу и заблокировать его никак нельзя? Как тогда должен быть подключен Микротик, чтобы через него проходил сетевой трафик (5 портовый, 1 под WAN)?
1) Пробовал - все без изменений, подключается к 10.39.0.1 по DHCP. 2) Могу ли я таким спобом bridge-filter блокировать сетевой трафик обычного пользователя сети? 192.168.2.12-20 например
Можно заблокировать, только важно понимать что L2 траффик в этом случае должен точно проходить через микротик, т.е. физически этот комп должен быть подключен в микротик.